Španac slučajno hakovao 7.000 robot-usisivača širom sveta
Kada je Semi Azdufal dobio robot-usisivač, želeo je malo da se zabavi sa njim. Umesto da samo koristi aplikaciju, želeo je da koristi svoj PlayStation 5 kontroler da bi upravljao mašinom od 2.000 dolara kao automobilom u video igrici.
Počeo je da se bavi kodom pomoću veštačke inteligencije i pokušao je da rekonstruiše tajni digitalni pozdrav koji je njegov usisivač koristio za komunikaciju sa „oblakom”. Kada je veza konačno uspostavljena, Azdufal je iznenada shvatio da može da vidi hiljade soba.
Pristupio je 6.700 drugih usisivača u 24 zemlje. Video je njihove nivoe baterija, serijske brojeve i mape. Sa još nekoliko otkucaja tastera, shvatio je da može da se uključi u prenose uživo sa kamera i da sluša preko mikrofona.
Romo, mašina veličine malog terijera, dizajnirana za čišćenje podova, nenamerno je postala flota od 7.000 mobilnih špijuna. A njihovi vlasnici nisu imali pojma da su špijunirani. To je klasično kršenje bezbednosti, piše ZME Science.
U suštini, bezbednosni token namenjen potvrdi vlasništva nad jednim uređajem, poslužio je kao skeletni ključ za celu robotsku flotu.
Bezbednosni rizici
Kada kupujete moderni autonomni uređaj, ne kupujete samo hardver. Kupujete stalnu vezu sa farmom servera, često hiljadama kilometara udaljenom. Moderni roboti poput ovog koji je Španac imao, koriste protokol pod nazivom MQTT (Message Queuing Telemetry Transport).
Uređaji šalju „pakete” serveru svakih nekoliko sekundi. Ovi paketi sadrže informacije poput „Zaglavljen sam na tepihu“, „Baterija mi je na 40%“ ili „Evo 2D mape glavne spavaće sobe“.
Očigledno je da postoje bezbednosni rizici. U bezbednosnom sistemu, server proverava vaš „bezbednosni token” i dozvoljava vam da vidite samo podatke koji pripadaju vašem određenom uređaju.
Kada je Azdufal predstavio svoj token, robotski server mu je predao „glavnu knjigu”. To je kao da koristite ključ hotelske sobe da biste dobili pristup svemu u zgradi, što je klasično kršenje bezbednosti.
Najluđe od svega je to što Azdufal nije ni pokušavao da postigne ovo, nastavlja portal. Jednostavno je koristio veštačku inteligenciju (Claude Code) da mu pomogne da prevede „mašinski govor“protokola u ljudski čitljiva uputstva.
@thynktech software engineer Sammy Azdoufal programmed a PlayStation 5 controller to operate a DJI Romo robot vacuum using Claude, showcasing how AI can bridge gaming hardware and smart home devices. By mapping controller inputs to the vacuum’s movement and commands, the setup turns a standard console controller into a real time remote control system powered by custom code and AI assistance. The project highlights how generative AI tools like Claude can accelerate experimentation, prototyping, and hardware integration for developers. As AI models become more capable at writing and refining code, creative cross device automation like this is becoming faster and more accessible. #AI #Claude #Robotics #SmartHome #Innovation ♬ original sound - sixteenthsonder
Insajder u domu
Ova „demokratizacija” tehničkih veština je mač sa dve oštrice. Iako omogućava da se iz hobija naprave sjajne aplikacije za kontrolere za igrice, takođe, to znači da barijera za pronalaženje katastrofalnih bezbednosnih propusta nikada nije bila niža.
Ovo je važnije nego ikad, jer punimo svoje domove kamerama i drugim senzorima brzinom koja bi učinila oficira obaveštajne službe iz Hladnog rata ljubomornim.
Sada imamo „pametna” zvona na vratima, „pametne” zvučnike i „pametne” frižidere. Svi oni su opremljeni jeftinim, ali veoma robusnim senzorima. Ne biste pomislili da usisivaču treba mikrofon, ali evo nas!
Usisivač je još problematičniji, jer se kreće i poznaje raspored vašeg doma. 2D mape koje je Azdufal video bile su dovoljno tačne da isplaniraju fizičku provalu. Usisivač, takođe, zna kada ste kod kuće, a kada na poslu.
@pubity This guy accidentally accessed nearly 7,000 DJI robot vacuums across 24 countries Developer Sammy Azdoufal was trying to connect a playstation controller to his new DJI robot vacuum. But when he logged into the system, he didn’t just see his own device. He found he could access thousands of other DJI vacuums around the world. That included live camera feeds, microphone access, and even detailed floor maps of people’s homes. In total, nearly 7,000 devices across 24 countries appeared exposed due to an authentication issue. #Pubity #RoadTo19M ♬ original sound - Pubity
Korporativni odgovor
Hakeri su 2024. godine preuzeli Ecovacs usisivače kako bi vikali uvrede vlasnicima. Godine 2025, roboti Drim i Narval su imali mane koje su omogućavale pristup kamerama u realnom vremenu. Pozivamo ove mašine u naše najintimnije prostore, spavaće sobe i dečije sobe, dok kompanije koje ih proizvode još uvek uče osnove „Bezbednosti 1 na 1”. Postoji i geopolitička dimenzija. Kineski tehnološki gigant koji proizvodi i izvozi ove robote u Španiju, već dugo je pod mikroskopom američkih zakonodavaca.
Dok dokazi o državno sponzorisanim „zadnjim vratima” ostaju predmet intenzivne debate, greške poput ove pružaju političku municiju. Ako neko sa PS5 kontrolom može da vidi u 7.000 domova, šta bi mogao da uradi posvećeni državni akter?
Azdufal je odmah obavestio kompaniju o problemu.
Odgovor je bio manje-više onakav kakav bismo očekivali od korporativnog odgovora: početno poricanje, praćeno tihom borbom. Kompanija je u početku tvrdila da je mana zakrpljena pre nego što je zaista bila. Tek nakon što su novinari pružili dokaz o kontinuiranom pristupu, kompanija se ućutala, a sada tvrdi da je problem „rešen” nizom automatskih ažuriranja pokrenutih početkom februara 2026. godine.
